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EU-voorstel: Netwerk- en informatiebeveiliging 
in de Unie COM(2013)48 1 


BRIEF VAN DE STAATSSECRETARIS VAN VEILIGHEID EN 
JUSTITIE 

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal 
Den Haag, 3 december 2015 

In deze brief informeer ik uw Kamer over de stand van zaken inzake de 
EU-richtlijn over Netwerk- en Informatiebeveiliging (NIB richtlijn). 

De Raad en het Europees Parlement hebben de ambitie om de onderhan- 
delingen over de richtlijn nog voor het einde van dit jaar af te ronden 
onder Voorzitterschap van Luxemburg. Thans wordt in trilogen en 
technische bijeenkomsten gesproken over compromisteksten. Op 
7 december a.s. is een volgende triloog voorzien. Indien de partijen er bij 
die gelegenheid uitkomen, zullen de Ministers tijdens de Telecomraad op 
11 december a.s. worden gevraagd hun principeakkoord te geven op het 
compromis. Indien partijen er niet uitkomen zullen de trilogen na de 
Telecomraad worden voortgezet. Omdat de uiteindelijke richtlijn, naar 
verwachting, op onderdelen zal afwijken van de Nederlandse inzet, 2 
informeer ik uw Kamer voorafgaand aan de Telecomraad, in plaats van, 
zoals gebruikelijk, na afloop van die Raad. 

Hieronder zal verder worden ingegaan op de ontwikkelingen in de 
onderhandelingen sinds mijn vorige voortgangsbrief van 1 juli 2015, 3 in 
het bijzonder op de stand van zaken omtrent de meld- en zorgplicht voor 
de vitale infrastructuur en de aanbieders van digitale diensten in de 
richtlijn en de consequenties. 

Relevante ontwikkelingen 

De NIB richtlijn is zeer regelmatig besproken onder het Luxemburgs 
Voorzitterschap en de onderhandelingen zijn sinds oktober jl. in een 
stroomversnelling gekomen. De posities van de lidstaten stonden geruime 


1 ZieE130011 pwww.europapoort.nl. 

2 Kamerstukken 22 112, GB en nr. 1587. 

3 Kamerstukken 33 602, E en nr. 6. 
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tijd op een groot aantal onderwerpen, met name de reikwijdte van de 
richtlijn, ver van elkaar. Vanuit een breed gedeelde wens onder de 
lidstaten om spoedig consensus te bereiken, zijn de standpunten, mede 
gelet op de verhoogde frequentie van de besprekingen, nader tot elkaar 
gekomen. 

De richtlijn ziet, in de compromisvoorstellen van het Luxemburgs 
Voorzitterschap, niet alleen op aanbieders van de vitale infrastructuur, 
maar ook op aanbieders van digitale diensten. In mijn vorige voortgangs- 
brief heb ik u geïnformeerd over het krachtenveld rondom het in de 
richtlijn opnemen van aanbieders van internetdiensten en internetinfra- 
structuren, en de Nederlandse visie hierop. 4 

De lidstaten hebben op 13 november jl. in het Comité van Permanente 
Vertegenwoordigers (Coreper) een mandaat gegeven aan het Luxemburgs 
voorzitterschap voor een vijfde triloog met het Europees Parlement en de 
Europese Commissie op 17 november jl. Tijdens deze triloog werd zowel 
door het Voorzitterschap als de Raad benadrukt dat ze de ambitie hebben 
om een politiek akkoord te bereiken voor het einde van dit jaar. Hoewel 
overeenstemming werd bereikt op een aantal artikelen zijn onder meer de 
lijsten met aanbieders in de vitale sectoren en aanbieders van digitale 
diensten nog onderwerp van discussie. 

Stand van zaken vitale infrastructuur 

Nederland heeft zich tot dusverre op het standpunt gesteld dat de richtlijn 
zich in beginsel zou moeten beperken tot de sectoren waarbinnen de 
uitval van processen als gevolg van een incident zou kunnen leiden tot 
maatschappelijke ontwrichting, oftewel de zogenaamde vitale processen. 
De thans voorliggende lijst van sectoren die onder het toepassingsbereik 
van de richtlijn komen te vallen, is ruimer dan de lijst van Nederlandse 
vitale processen. Laatstgenoemde lijst is beschreven in de voortgangs- 
brief nationale veiligheid d.d. 12 mei 2015 waarin ik u onder anderen heb 
geïnformeerd over de bescherming van de vitale infrastructuur van 
Nederland. 5 Lidstaten behouden echter wel de vrijheid om binnen de in 
de richtlijn opgenomen sectoren zelf, aan de hand van in de richtlijn 
vermelde criteria, te bepalen welke specifieke organisaties onder de 
bepalingen van de richtlijn vallen. Voorts staat het een lidstaat vrij om, 
met het oog op het in de richtlijn vermelde uitgangspunt van minimum 
harmonisatie, de verplichtingen als bedoeld in de richtlijn ook van 
toepassing te verklaren op processen die niet vallen onder de in de 
richtlijn genoemde sectoren, maar door die lidstaat wél als vitaal worden 
aangemerkt. 

Stand van zaken aanbieders van digitale diensten 

In het oorspronkelijke commissievoorstel was ook een aantal aanbieders 
van digitale diensten opgenomen, zoals online platforms voor elektro¬ 
nische handel en cloud computing diensten. Een aantal categorieën van 
aanbieders van digitale diensten zijn ook in de compromisvoorstellen van 
het Luxemburgs Voorzitterschap onder de reikwijdte van de richtlijn 
gebracht. Wel geldt nu voor deze aanbieders van digitale diensten 
daarbinnen een apart regime. 

De Nederlandse inzet was erop gericht dat de richtlijn beperkt zou worden 
tot sectoren waarbij uitval van dienstverlening tot maatschappelijke 
ontwrichting zou kunnen leiden. Een ruime meerderheid van de lidstaten 
is echter voorstander van het opnemen van aanbieders van digitale 
diensten omdat aanbieders van openbare elektronische communicatienet- 


4 Kamerstukken 33 602, E en nr. 6. 

5 Voortgangsbrief Nationale Veiligheid: Kamerstuk 30 821, nr. 23. 
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werken en -diensten bijvoorbeeld op grond van nationale implementaties 
van Europese wetgeving in veel gevallen al meldplichtig zijn («level 
playing field»). 6 

Anders dan ten aanzien van sectoren die in de NIB richtlijn onder de 
noemer vitale infrastructuur vallen, hebben lidstaten aangaande de 
digitale diensten niet de bevoegdheid om op basis van de in de richtlijn 
vermelde criteria te bepalen welke specifieke aanbieders onder de in de 
richtlijn bedoelde verplichtingen komen te vallen. Vanwege onder meer 
hun grensoverschrijdende karakter zullen deze digitale diensten worden 
gedefinieerd in de richtlijn. In het huidige voorstel worden bij de digitale 
diensten de micro- en kleine bedrijven uitgesloten. Voorts is voor digitale 
dienstverleners geregeld dat zij alleen onder de jurisdictie vallen van het 
EU-land waarin zij hun hoofdvestiging hebben of zich laten vertegenwoor¬ 
digen. Alleen in dat land zullen zij dus bijvoorbeeld incidenten moeten 
melden. 

Voor aanbieders van digitale diensten gaat volgens het voorliggende 
voorstel een lichter regime gelden dan voor vitale aanbieders. Toezicht en 
handhaving geschieden bijvoorbeeld enkel reactief (ex post), net zoals het 
geval is bij niet-gekwalificeerde verleners van vertrouwensdiensten zoals 
bedoeld in de Europese verordening over elektronische identificatie en 
vertrouwensdiensten (e-IDAS). 7 

Consequenties 

Zoals hiervoor is opgemerkt wijkt de huidige compromistekst op enkele 
punten af van de oorspronkelijke Nederlandse inzet. Nederland zet zich in 
om de consequenties van de voorgestelde reikwijdte, waar mogelijk, zo 
beperkt mogelijk te houden. 

Indien het voorstel in zijn huidige vorm, met bovengenoemde ruime 
reikwijdte, zal worden aangenomen, zal dit consequenties, bijvoorbeeld 
administratieve lasten, met zich meebrengen voor meer sectoren en 
aanbieders dan op basis van de Nederlandse inzet het geval zou zijn. 8 

Daarnaast zal als gevolg van bovengenoemde reikwijdte in ruimere mate 
bijvoorbeeld in de regeling van toezicht en functionaliteiten van een 
Computer Security Incident Response Team, zoals het Nederlandse NCSC, 
moeten worden voorzien. Bij het omzetten van de verplichtingen uit de 
NIB richtlijn in nationale wetgeving zal het kabinet bezien wat de beste 
vorm is om de verplichtingen uit de richtlijn in wetgeving te implemen¬ 
teren, waarbij de implicaties voor zowel het bedrijfsleven als de overheid 
zoveel mogelijk beperkt zullen worden en zoveel mogelijk zal worden 
aangesloten bij de bestaande Nederlandse situatie. 

De Staatssecretaris van Veiligheid en Justitie, 

K.H.D.M. Dijkhoff 


6 Artikel 13a en 13b van de Kaderrichtlijn 2002/21/EC. 

7 Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 
betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in 
de interne markt en tot intrekking van richtlijn 1999/93/EG (PbEU 2014, L 257). 

8 Kamerstukken 22 112, GB en nr. 1587. 
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